cPanel 黑色一周：针对 4.4 万台服务器的攻击后修复三个新漏洞

# cPanel 的黑色一周：勒索软件攻击 44,000 台服务器后修补三个新漏洞 - Copahost 来源：https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/ 如果您运行的是搭载 cPanel 或 WHM 的服务器，请务必仔细阅读本文。 2026 年 5 月 8 日——就在 cPanel CVE-2026-41940 身份验证绕过漏洞被利用以攻破 44,000 台 Web 托管服务器并部署勒索软件仅仅十天之后——cPanel 悄然发布了第二个紧急安全补丁。该补丁涵盖三个新漏洞：CVE-2026-29201、CVE-2026-29202 和 CVE-2026-29203。 这三个漏洞中有两个的 CVSS 评分为 8.8。这使它们稳稳处于**高严重性（High severity）**等级，仅低于严重（Critical）等级。 这是 cPanel (https://www.copahost.com/blog/cpanel/) 在 10 天内发布的第二个技术安全发布（TSR）。不到两周内发布两个紧急补丁并不寻常，且其发布时间点——紧随近年来最严重的 cPanel 攻击事件之后——讲述了一个明确的故事：勒索软件事件触发了更深入的代码审计，而该审计发现了更多问题。 - 什么是 cPanel TSR？(https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#What_Is_a_cPanel_TSR) - 三个新漏洞 (https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#The_Three_New_Vulnerabilities) - CVE-2026-29201 — 任意文件读取（CVSS 4.3）(https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#CVE-2026-29201_%E2%80%94_Arbitrary_File_Read_CVSS_43) - CVE-2026-29202 — 任意 Perl 代码执行（CVSS 8.8）(https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#CVE-2026-29202_%E2%80%94_Arbitrary_Perl_Code_Execution_CVSS_88) - CVE-2026-29203 — 通过不安全的符号链接进行权限提升（CVSS 8.8）(https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#CVE-2026-29203_%E2%80%94_Privilege_Escalation_via_Unsafe_Symlink_CVSS_88) - 背景：cPanel 刚刚发生了什么 (https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#Context_What_Just_Happened_to_cPanel) - 如何修补——逐步指南 (https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#How_to_Patch_%E2%80%94_Step_by_Step) - 是否还应检查先前的入侵？(https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#Should_You_Also_Check_for_the_Previous_Compromise) - 更广泛的模式 (https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#The_Broader_Pattern) - 总结清单 (https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#Summary_Checklist) - 来源 (https://www.copahost.com/blog/cpanels-black-week-three-new-vulnerabilities-patched-after-ransomware-attack-on-44000-servers/#Sources) ## 什么是 cPanel TSR？ 在深入探讨这些漏洞之前，先提供一个背景说明：当安全补丁准备好时，cPanel 使用一个称为技术安全发布（Technical Security Release, TSR）的标准化流程。cPanel 会提前通知注册用户，以便他们准备更新窗口和维护计划。CVE 编号通过 MITRE 预留，但完整的技术细节在补丁生效前处于保密状态——以防止在修复方案可用之前遭到利用。 2026 年 5 月 7 日，WebPros 向注册用户发送了第二封 TSR 预披露电子邮件——这是十天内的第二份此类紧急通知。补丁于 5 月 8 日 EST 时间 12:00 发布。 ## 三个新漏洞 ### CVE-2026-29201 — 任意文件读取（CVSS 4.3） **它是什么：** `feature::LOADFEATUREFILE` adminbin 调用中特征文件名（feature file name）的输入验证不足，可能导致任意文件读取。 **实际意义：** 已认证的攻击者可以操纵特征文件名参数，以读取托管服务器上他们无权访问的文件。虽然这不会直接授予 root 访问权限，但收集到的信息——配置文件、凭据、内部路径——可用于策划更具破坏性的后续攻击。 **严重性：** 中等（CVSS 4.3）。比其他两个紧急程度低，但鉴于当前的威胁环境，仍值得立即修补。 ### CVE-2026-29202 — 任意 Perl 代码执行（CVSS 8.8） **它是什么：** `create_user` API 调用中 `plugin` 参数的输入验证不足，可能导致以已认证账户的系统用户身份执行任意 Perl 代码。 **实际意义：** 这是三个漏洞中最危险的一个。已认证的用户（在共享服务器上可以是任何账户持有人）可以通过 `create_user` API 注入任意 Perl 代码。在 cPanel 上下文中运行的 Perl 代码具有显著的系统级访问权限。在共享托管服务器上，这可能允许一个租户运行影响整台机器的代码。 **严重性：** 高（CVSS 8.8）。需要认证，但在共享托管环境中，门槛很低——任何账户都足够。 ### CVE-2026-29203 — 通过不安全的符号链接进行权限提升（CVSS 8.8） **它是什么：** 一种不安全的符号链接处理漏洞，允许用户使用 chmod 修改任意文件的访问权限，导致拒绝服务或可能的权限提升。 **实际意义：** 通过创建指向敏感系统文件的符号链接并通过 cPanel 触发 chmod 操作，攻击者可以更改他们本不应触及的文件的权限。如果系统文件变得不可访问，这可能导致权限提升或拒绝服务。 **严重性：** 高（CVSS 8.8）。结合 CVE-2026-29202，这两个缺陷可以被链式利用：执行代码以创建符号链接，然后使用 chmod 提权以获取更深层的访问权限。 ## 背景：cPanel 刚刚发生了什么 要理解为什么这三个补丁比其单独的 CVSS 评分所暗示的更为重要，有必要回顾在此之前的十天内发生的事情。 2026 年 4 月 28 日，cPanel 为 CVE-2026-41940 发布了紧急补丁——这是一个 CVSS 9.8 的身份验证绕过漏洞，允许未认证的远程攻击者获得对 cPanel 和 WHM 的管理员访问权限。该漏洞作为零日漏洞被积极利用，利用尝试可追溯至 2026 年 2 月底——这意味着在修复方案可用之前，攻击者拥有大约两个月的领先优势。 后果立竿见影且严重。在持续的攻击中，至少 44,000 个运行 cPanel 的 IP 地址遭到入侵。黑客利用该漏洞突破服务器并部署名为“Sorry”的勒索软件菌株基于 Go 的 Linux 加密器。 10 天窗口内的两次紧急技术支持发布反映了安全团队所认识到的集中式修复周期：初始关键补丁触发了对相邻代码路径的更深入审计，该审计发现了先前未发觉或被降低优先级的问题。这在高调事件发生后并不罕见——实际上，这是对身份验证和会话处理代码加速重新审查的预期结果。 换句话说：在 CVE-2026-41940 之后立即发现 CVE-2026-29201、29202 和 29203 并非运气不佳。这是 cPanel 在压力下审计其代码并发现更多问题的结果。未来可能还会有进一步的披露。 ## 如何修补——逐步指南 **标准更新：** ```bash /scripts/upcp ``` 在 5 月 8 日 EST 时间 12:00 之后以 root 身份从命令行运行此命令。这将通过 cPanel 的标准层级机制拉取最新的 TSR。 **如果禁用了自动更新或您处于固定层级：** ```bash /scripts/upcp --force ``` **对于 CloudLinux 6 服务器：** ```bash sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf /scripts/upcp ``` **修补后，重启 cpsrvd：** ```bash /scripts/restartsrv_cpsrvd ``` **验证运行的修补版本：** ```bash /usr/local/cpanel/cpanel -V ``` 确认版本与 cPanel 官方安全公告中列出的修补发布版本一致，然后再认为服务器受到保护。 ## 是否还应检查先前的入侵？ 如果您的服务器在 2 月底至 4 月 28 日期间运行的是未修补的 cPanel 版本，您应将其视为可能已被入侵并进行调查，而不仅仅是修补。 建议的法证步骤包括：回溯审查自 2026 年 2 月 23 日起的访问日志——检查 `/usr/local/cpanel/logs/access_log` 和 `/usr/local/cpanel/logs/login_log`，查找源自意外 IP 地址的异常会话认证模式。此外，还要对用户主目录进行递归扫描，查找带有 `.sorry` 扩展名的文件。存在 `.sorry` 文件证实了勒索软件的部署，需要完整的事件响应，而不仅仅是修补。 ## 更广泛的模式 cPanel 目前所经历的情况是整个 Web 托管安全格局受到影响的更广泛趋势的一部分。 近年来三个最高调的 Linux 内核漏洞——Copy Fail（CVE-2026-31431）和 Dirty Frag（CVE-2026-43284/43500）——在 4 月下旬和 5 月上旬的八天内相继披露。cPanel 勒索软件攻击暴露了超过 44,000 台服务器。而现在，又有三个 cPanel CVE 在第一个紧急补丁后的几天内出现。 这种披露的集中并非巧合。AI 辅助的安全研究正在以比协调披露流程所能处理的速度更快地发现漏洞。漏洞被攻击者知晓到在生产环境中被利用之间的窗口期正从数周缩短至数天。在 CVE-2026-41940 的案例中，利用在补丁存在之前就开始了数月。 对于任何运营 cPanel 服务器的人来说，操作含义是直接的：必须启用自动更新，补丁验证必须成为您维护清单的一部分，而在每次重大事件后审查日志已不再是可选操作。 ## 总结清单 | 行动 | 优先级 | | :--- | :--- | | 运行 `/scripts/upcp` 以应用 5 月 8 日的 TSR | 🔴 立即 | | 修补后重启 cpsrvd | 🔴 立即 | | 使用 `/usr/local/cpanel/cpanel -V` 验证修补版本 | 🔴 立即 | | 审查自 2 月 23 日起的访问日志 | 🟡 今天 | | 扫描主目录中的 `.sorry` 文件 | 🟡 今天 | | 如果禁用，启用自动 cPanel 更新 | 🟡 本周 | | 审查是否有任何账户异常运行了 `create_user` API | 🟡 本周 | --- ## 来源 - The Hacker News — cPanel, WHM Release Fixes for Three New Vulnerabilities: https://thehackernews.com/2026/05/cpanel-whm-patch-3-new-vulnerabilities.html - Panelica — cPanel Pre-Discloses Three New CVEs, Second Emergency TSR in 10 Days: https://panelica.com/blog/cpanel-cve-2026-29201-29202-29203-may-2026-tsr-advisory - Panelica — cPanel’s 30-Day Security Storm: https://panelica.com/blog/cpanel-30-day-security-storm-2026 - BleepingComputer — Critical cPanel flaw mass-exploited in “Sorry” ransomware attacks: https://www.bleepingcomputer.com/news/security/critritical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/ - BleepingComputer — cPanel, WHM emergency update fixes critical auth bypass bug: https://www.bleepingcomputer.com/news/security/cpanel-whm-emergency-update-fixes-critical-auth-bypass-bug/ - Help Net Security — cPanel zero-day exploited for months before patch release: https://www.helpnetsecurity.com/2026/04/30/cpanel-zero-day-vulnerability-cve-2026-41940-exploited/ - KnownHost Community Forum — CVE-2026-29201, 29202, 29203 patch thread: https://www.knownhost.com/forums/threads/cpanel-cve-2026-29201-cve-2026-29202-and-cve-2026-29203-patch-released-5-8-26-noon-est.6603/